Broadcom hat in den Standardeinstellungen für Symantec Endpoint Security (SES) nur wenige E-Mail Benachrichtigungen aktiviert, wohl um die Admins nicht mit weniger wichtigen Mails zu nerven, oder geht einfach davon aus, dass die Admins immer in der Konsole sind oder SES über API an ein internes System angebunden ist. Dennoch kann es sinnvoll sein, zu weiteren Sicherheitsvorfällen E-Mail zu erhalten.
Zuersteinmal muss zwischen Alerts und Incident unterschieden werden. Alerts sind von Broadcom vordefiniert und es können keine eigenen hinzugefügt werden.
Alerts können nur bedingt angepasst werden, bei vielen ist E-Mail nicht aktiviert. Um bestimmte Alerts als E-Mail zu erhalten, wird unten die Option „Email“ aktiviert und der „Threshold“ definiert. Bei einigen Alert ist dieser so eingestellt, dass E-Mails nur verschickt werden, wenn mehrere Ereignisse innerhalb einer bestimmten Zeit stattfinden.
Incident-Regeln gibt es nur SES Complete (SESC), denn dies enthält die Lizenz für Endpoint Detection and Response (EDR). Durch EDR können zusätzliche Informationen zu einem einzelnen Ereignis hinzugefügt oder mehrere Ereignisse miteinander korreliert werden. SESC enthält zum Zeitpunkt der Erstellung von diesem Artikel 1.932 Regeln, wovon viele komplett deaktiviert sind.
Um für die Regeln E-Mail benachrichtungen zu erhalten, klicken Sie auf „Settings“ und dann auf „Notifications“.
Wählen Sie nun alle Incident-Typen aus, zu denen Sie benachrichtigt werden wollen.
Broadcom Links: